Решена Не открываются некоторые окна в браузере, комп "тормозит"...

[Razey]

Здравствуйте!

Предполагается вирусное заражение. Пользователь жалуется на некоторые проблемы с браузерами - не открываются некоторые окна, комп медленнее, чем обычно работает...
То ли в "Мой компьютер", то ли в "Проводник" нет кнопки создания новой папки. Прошу глянуть логи...

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RebootWindows(false);
end.

Компьютер перезагрузится.


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk1 SyncDone: (no name) - {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk2 SyncProgress: (no name) - {75EF3512-D401-4172-BA0F-00E000DCBCE4} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk3 SyncDisabled: (no name) - {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk4 SyncError: (no name) - {9CE04609-A360-4266-9937-9D799E8D2D5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YandexDisk5 SyncPart: (no name) - {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

В логах кроме мусора ничего не видно, посмотрим еще FRST и скорее всего, переедем к системщикам.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

+
Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Auslogics BoostSpeed
Auslogics BoostSpeed 11
Driver Easy 5.6.14.33488
IObit Uninstaller 8

До логов FRST очистите следы бывшей установки Avast по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.
и соберите лог:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Razey]

Здравствуйте!

Требуемое во вложении.

P.S. Также в браузере Google Chrome заметил всплывающую рекламу.

 

[akok]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.



Addition.txt - где потеряли?

 

[Razey]

Здравствуйте!

Требуемое во вложении (+потерянный Addition.txt).

P.S. Cнова сделать логи Autologger'a или иначе?

 

[Sandor]

Cнова сделать логи Autologger'a или иначе?

Пока не нужно.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-2478508494-2079394465-1499584982-500\...\MountPoints2: {5a3371ad-7805-11e9-a20b-206a8a08cf7f} - E:\Setup.exe
  HKU\S-1-5-21-2478508494-2079394465-1499584982-500\...\MountPoints2: {6bf8ba04-6845-11e9-b2fa-206a8a08cf7f} - E:\Setup.exe
  HKU\S-1-5-21-2478508494-2079394465-1499584982-500\...\MountPoints2: {f86ca470-9d5e-11e8-8938-c446196b8d36} - G:\AutoRun.exe
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Task: {37999E5E-1D5D-4A26-9159-80C3D7E6D65B} - System32\Tasks\Avast TUNEUP Update => C:\Program Files (x86)\AVAST Software\Avast Cleanup\TUNEUpdate.exe
  Task: {5D7F6BD6-5D4E-4643-8BB2-FBA5D0F066CA} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe
  Task: {AAD3ED52-77AE-4D9A-8756-CC388A496052} - System32\Tasks\Auslogics\Disk Defrag Prof\Task {00000001-2E64-4495-824C-13F5D5B632C6} for Администратор => C:\Program Files (x86)\Auslogics\Disk Defrag Pro\DiskDefragPro.exe [2700360 2018-08-23] (Auslogics Labs Pty Ltd -> Auslogics)
  Task: {EF6F688A-03E4-42CB-9C27-5A2C6D420EFB} - System32\Tasks\Auslogics\Disk Defrag Prof\Task {00000001-4653-4F96-99BE-38CEABA387EF} for Администратор => C:\Program Files (x86)\Auslogics\Disk Defrag Pro\DiskDefragPro.exe [2700360 2018-08-23] (Auslogics Labs Pty Ltd -> Auslogics)
  Task: {FE8597A8-1F97-4288-AA22-602838588CB5} - System32\Tasks\Auslogics\Disk Defrag Prof\Task {00000001-7DF4-48FD-B42E-43255F8C5632} for Администратор => C:\Program Files (x86)\Auslogics\Disk Defrag Pro\DiskDefragPro.exe [2700360 2018-08-23] (Auslogics Labs Pty Ltd -> Auslogics)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ATTENTION (Restriction - ProxySettings)
  CHR DefaultSearchKeyword: Default -> mcafee
  CHR HKU\S-1-5-21-2478508494-2079394465-1499584982-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
  CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
  CHR HKLM-x32\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce]
  2018-12-30 00:19 - 2018-12-30 00:19 - 000000757 _____ () C:\Users\Администратор\AppData\Local\uBar.lnk
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Razey]

Здравствуйте!

Просьба не удалять тему, никак пока не могу сконнектиться с пользователем, но он готов продолжать лечение, оно ему актуально...

P.S. В течение нескольких дней постараюсь решить этот вопрос...

 

[Razey]

Здравствуйте!

Fixlog.txt во влржении.

Окна в браузере с рекламой, самопроизвольно открывающиеся (после выполнения скрипта, остались), просьба глянуть.

 

[Sandor]

Окна в браузере с рекламой

В каком браузере? На любом сайте?

 

[Razey]

В каком браузере? На любом сайте?

Здравствуйте! В Google Chrome. При заходе на любой сайт... Конкретно safezone.cc вбивал и совместно с safezone открывалась какая-то "порнушная" ссылка. Также пользователь говорил, что на любом сайте не только при открытии страницы, но и через некое время тоже может открыться такая страница.

 

[Sandor]

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

 

[Razey]

Здравствуйте!

Открыл вкладку с расширениями в Хроме - нет там ничего. Два или больше раза запускал сам Хром, затем 2 или больше раз открывал вкладки дополнительно к запускам Хрома - всплывающая реклама себя никак не проявила... М.б. и нет уже её. Давайте, спрошу ещё раз пользователя; но, тем не менее, какие рекомендации будут после лечения?

 

[akok]

Все стандартное
Подготовьте лог SecurityCheck by glax24

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe. Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.

​

 

[Razey]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 03.08.2020 22:39:43
Path starting: C:\Users\Администратор\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Администратор
VersionXML: 7.74is-26.07.2020
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 04.06.2018 05:50:24
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Acoo Browser\AcooBrowser.exe
Системный диск: C: ФС: [NTFS] Емкость: [148.9 Гб] Занято: [128 Гб] Свободно: [20.9 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19356 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.4518.1014
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба остановлена
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Symantec Endpoint Protection v.14.2.1031.0100
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.10411.0 Внимание! Скачать обновления
Microsoft Office Excel 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
K-Lite Mega Codec Pack 10.5.0 v.10.5.0 Внимание! Скачать обновления
Microsoft Office PowerPoint 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer 15.7.7.0 v.15.7.7.0
Microsoft Office Word 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer (TeamViewer) - Служба работает
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype, версия 8.62 v.8.62
--------------------------------- [ P2P ] ---------------------------------
BitComet 1.54 v.1.54 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 13 (64-bit) v.7.0.130 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u261-windows-x64.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.403
Adobe Flash Player 32 NPAPI v.32.0.0.403
Adobe Flash Player 32 PPAPI v.32.0.0.403
------------------------------- [ Browser ] -------------------------------
Acoo Browser (только удаление) Данная программа больше не поддерживается разработчиком.
Google Chrome v.84.0.4147.105
----------------------------- [ EmailClient ] -----------------------------
The Bat! v9.0.16 (64-bit) v.9.0.16 Внимание! Скачать обновления
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.1031.0100.105\Bin\ccSvcHst.exe v.13.4.0.20
Защитник Windows (WinDefend) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
3D Youtube Downloader (x64) v.1.16.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

 

[akok]

То, что красным помечено стоит исправить